Edgar Bangkok
26-07-2008, 06:33
sabato 26 luglio 2008
Una ricerca in rete mostra , anche con risultati riferiti a qualche ora fa', una notevole quantita' di siti tra cui alcuni .IT che attraverso una pagina inserita all'interno degli stessi , propongono il download di un falso player flash.
(img sul blog)
Questa una ricerca su domini IT dove si vede chiaramente che alcune risultati sono delle ultime ore
(img sul blog)
I nomi del folder inserito nel sito colpito risulta come live.html, video.html, watch.html ecc ...
Esaminiamo brevemente la pagina che viene inserita all'interno del sito web compromesso
Questo il risultato quando l esecuzione degli script java e' attivata nel browser
(img sul blog)
Il file flash .exe e' pochissimo riconosciuto dai softwares antivirus presenti su VT
(img sul blog)
Come si vede abbiamo la presenza di iframes nascosti
(img sul blog)
ed una volta attivati gli script la pagina stabilisce una connessione
(img sul blog)
su ip
(img sul blog)
Tra l'altro sembra che ci troviamo di fronte ad una azione di inserimento pagine con malware abbastanza estesa in quanto esaminando altri risultati proposti dal motore di ricerca non solo abbiamo differente hoster italiano ma anche un diverso file player sia come nome di file
(img sul blog)
che come rilevamento da parte dei softwares AV di VT
(img sul blog)
In pratica potremmo trovarci di fronte ad una medesima tipologia di attacco (il falso player flash) ma attuata forse da soggetti diversi e comunque con l'uso di diversi files malware e differenze sui files ospitati a volte solo sul sito colpito
(img sul blog)
mentre in altri casi, su diverso server (links a script in alcuni casi esterni al server stesso)
(img sul blog)
Vedremo nelle prossime ore se ci sara' una ulteriore espansione di questo genere di attacchi osservando comunque che una ricerca senza filtrare i domini .IT porta al momento a piu' di 330.000 links molti dei quali puntano a pagina con falso player flash.
Edgar :D
fonte: http://edetools.blogspot.com/
Una ricerca in rete mostra , anche con risultati riferiti a qualche ora fa', una notevole quantita' di siti tra cui alcuni .IT che attraverso una pagina inserita all'interno degli stessi , propongono il download di un falso player flash.
(img sul blog)
Questa una ricerca su domini IT dove si vede chiaramente che alcune risultati sono delle ultime ore
(img sul blog)
I nomi del folder inserito nel sito colpito risulta come live.html, video.html, watch.html ecc ...
Esaminiamo brevemente la pagina che viene inserita all'interno del sito web compromesso
Questo il risultato quando l esecuzione degli script java e' attivata nel browser
(img sul blog)
Il file flash .exe e' pochissimo riconosciuto dai softwares antivirus presenti su VT
(img sul blog)
Come si vede abbiamo la presenza di iframes nascosti
(img sul blog)
ed una volta attivati gli script la pagina stabilisce una connessione
(img sul blog)
su ip
(img sul blog)
Tra l'altro sembra che ci troviamo di fronte ad una azione di inserimento pagine con malware abbastanza estesa in quanto esaminando altri risultati proposti dal motore di ricerca non solo abbiamo differente hoster italiano ma anche un diverso file player sia come nome di file
(img sul blog)
che come rilevamento da parte dei softwares AV di VT
(img sul blog)
In pratica potremmo trovarci di fronte ad una medesima tipologia di attacco (il falso player flash) ma attuata forse da soggetti diversi e comunque con l'uso di diversi files malware e differenze sui files ospitati a volte solo sul sito colpito
(img sul blog)
mentre in altri casi, su diverso server (links a script in alcuni casi esterni al server stesso)
(img sul blog)
Vedremo nelle prossime ore se ci sara' una ulteriore espansione di questo genere di attacchi osservando comunque che una ricerca senza filtrare i domini .IT porta al momento a piu' di 330.000 links molti dei quali puntano a pagina con falso player flash.
Edgar :D
fonte: http://edetools.blogspot.com/